IT-Sicherheit leicht gemacht
Autorin: Susann Bartels (Consultant #FORTSCHRITT)
- 24.09.2020 -
Brauchen KMUs eine Cyber Security-Strategie? Ja, unbedingt! Brauchen KMUs dafür ein großes Budget? Nein, keinesfalls! Erfahren Sie in diesem Artikel, warum Cyber Security für Ihr Unternehmen als Existenzschutz unerlässlich ist, wieso Cyber Security für Sie zum Wettbewerbsvorteil werden kann, welche Handlungsfelder eine ganzheitliche Cyber Security-Strategie umfasst und wie Sie noch heute den ersten Schritt machen können.
Cyber Security ist für viele kleine und mittelständische Unternehmen (KMUs) eine große Herausforderung. Zu aufwändig, zu technisch, zu teuer – als lästig, im schlimmsten Fall sogar als überflüssig wird der umfassende Schutz von Daten und IT-Systemen abgetan. Die eigene Gefährdung wird auch im Jahr 2020 von vielen kleinen Firmen immer noch unterschätzt. Dabei ist Cyber Security mittlerweile knallharter Existenzschutz für jedes Unternehmen. Und dieser Schutz muss weder kompliziert noch teuer sein! Personal zur Umsetzung ist auch reichlich vorhanden – denn jeder Mitarbeiter kann seinen Beitrag zum Schutz des Unternehmens vor Angriffen leisten. Sie wollen wissen, wie das geht? Dann lesen Sie weiter!
Was haben Daten mit Öl zu tun?
Daten sind das neue Öl. Diesen kurzen Satz dürfte mittlerweile jeder zu Genüge gehört und gelesen haben. Vielleicht wurde er in letzter Zeit überstrapaziert, denn inzwischen klingt er ein bisschen abgedroschen. Dennoch steckt hinter den fünf kurzen Worten eine bedeutungsschwere Botschaft. Während Öl, zusammen mit anderen fossilen Brennstoffen, ein wichtiger Motor für das Industriezeitalter war, bilden heutzutage Daten den Motor für das digitale Zeitalter. Denn die digitale Wirtschaft fußt vor allem auf einem – Daten, mehr Daten und immer noch mehr Daten. Im Zeitalter von Industrie 4.0, cyber-physischen Systemen und dem Internet der Dinge werden immer mehr Produkte und Prozesse digitalisiert. Dabei werden Unmengen von Daten erzeugt, verarbeitet und gespeichert. Cyber Security, also der Schutz dieser Daten und der dazugehörenden informationsverarbeitenden Systeme, ist heute relevanter als jemals zuvor in der Wirtschaftsgeschichte. Denn mittlerweile gehören Daten zu den wichtigsten Assets eines jeden Unternehmens – sie halten Geschäftsprozesse am Laufen. Oder andersherum: Geschäftsprozesse können signifikant gestört, verlangsamt oder sogar gänzlich zum Erliegen gebracht werden, wenn zum Beispiel Datensätze fehlerhaft, unvollständig oder überhaupt nicht verfügbar sind, die Synchronisation von Daten zwischen Systemen gestört ist, IT-Systeme fehlerhaft arbeiten oder komplett ausfallen. Das Schadensausmaß kann, je nach Situation, gering bis verheerend sein.
Cyber Security ist kein Buzzword, sondern purer Existenzschutz für Ihr Unternehmen
Natürlich kann es immer wieder durch menschliches Versagen oder technische Fehler zu einer falschen Erfassung und Verarbeitung von Daten oder einem unbeabsichtigten Datenverlust kommen. Immer häufiger werden Firmen jedoch zur Zielscheibe von Hackern. Die Zahl der Angriffe ist in den letzten Jahren rasant angestiegen. So meldete die Deutsche Telekom im April 2019 in der Spitze 46 Millionen Angriffe an einem einzigen Tag auf ihre knapp 3.000 Honeypots (Deutsche Telekom, 2019) – eine Art im Internet ausgelegte Fallen, die als Köder dienen sollen, um Hacker anzulocken, deren Angriffe zu analysieren und daraus Sicherheitsmaßnahmen abzuleiten. Der Durchschnittswert der täglichen Angriffe auf die Honeypots der Telekom lag im April 2019 bei immerhin 31 Millionen und damit deutlich höher als in den Vorjahren – im April 2018 wurden durchschnittlich zwölf Millionen Angriffe pro Tag registriert und im April 2017 im Schnitt nur vier Millionen tägliche Attacken (Deutsche Telekom, 2019).
Abb. 1: Drei Viertel der deutschen Wirtschaft waren in den Jahren 2018 und 2019 von digitalen oder analogen Angriffen betroffen, Quelle: Bitkom e.V., 2019a
Auch die Zahl der von Angriffen betroffenen deutschen Unternehmen ist in den vergangenen Jahren drastisch angestiegen. Laut einer im November 2019 vom Bitkom veröffentlichten Studie, für die 1.070 Unternehmen in Deutschland aus unterschiedlichen Branchen und ab einer Größe von zehn Mitarbeitern befragt wurden, waren in den vergangenen zwei Jahren drei Viertel der deutschen Wirtschaft – analog und digital – von Datendiebstahl, Industriespionage und Sabotage betroffen; in den Jahren 2016/2017 waren es noch nur knapp über 50 Prozent der Unternehmen gewesen (Bitkom e.v., 2019a; vgl. Abbildung 1). Angriffe auf Passwörter (25 Prozent), Infizierung mit Schadsoftware (23 Prozent), Phishing-Attacken (23 Prozent) und die Ausnutzung von Software-Schwachstellen (21 Prozent) waren laut den Angaben der in der Studie befragten Unternehmen in den vergangenen zwei Jahren die häufigsten Arten von digitalen Angriffen mit Schadensfolge (Bitkom e.V, 2019a). Immerhin 70 Prozent der Unternehmen meldeten im Jahr 2019 einen Schaden nach einem Cyberangriff, zwei Jahre zuvor waren es noch nur 43 Prozent gewesen (Bitkom e.V., 2019a). Den gesamtwirtschaftlichen Schaden durch – analoge wie auch digitale – Angriffe beziffert der Bitkom mittlerweile auf knapp 103 Mrd. Euro jährlich und damit gut doppelt so hoch wie in den Jahren des Vergleichszeitraums 2016 und 2017, als die Schadenssumme noch auf 55 Mrd. Euro taxiert wurde (Bitkom e.V, 2019b).
Besonders KMUs bilden ein Einfallstor für kriminelle Aktivitäten. Im Gegensatz zu großen Konzernen sind ihre Ressourcen beschränkt - und Hacker wissen das! Die IT-Abteilung – wenn es denn überhaupt eine eigene Abteilung gibt – kümmert sich um die konstante Betriebsfähigkeit der firmeneigenen IT-Infrastruktur; für die Erstellung von IT-Sicherheitskonzepten und Notfallplänen, die kontinuierliche Sensibilisierung der Mitarbeiter, die regelmäßige Schulung des IT-Personals oder gar ein eigenes 24/7-Cyber-Abwehr-Team reichen die personellen, organisatorischen und finanziellen Mittel bei kleineren Firmen oftmals nicht. In den vergangenen Jahren haben verschiedenste Studien die fehlenden Investitionen in die Cyber Security sowie die damit einhergehenden technischen, organisatorischen und personellen Defizite bei KMUs immer wieder bemängelt (vgl. u. a. techconsult GmbH, 2019; Hillebrand, A.; Niederprüm, A., Schäfer, S., Thiele, S. & Henseler-Unger, I., 2017; PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft (PwC), 2017).
Dabei ist der Mittelstand das Rückgrat der deutschen Wirtschaft. Über 99 Prozent der Unternehmen in Deutschland sind KMUs. Mehr als die Hälfte der Erwerbstätigen sind bei KMUs beschäftigt. Und über ein Drittel des gesamten Umsatzes der Unternehmen in Deutschland wird von den dreieinhalb Millionen KMUs erwirtschaftet. Von den weltweit rund 2.700 Hidden Champions gehört gut die Hälfte zum deutschen Mittelstand. Um das Know-how der KMUs zu schützen und ihre Geschäftsfähigkeit jederzeit aufrecht zu erhalten, ist Cyber Security zu einem unerlässlichen Schutzschild geworden. Der Schutz von unternehmenseigenen Daten wie auch den Daten von Kunden vor Manipulation, Diebstahl und Vernichtung sowie der Schutz von IT-Systemen vor Kompromittierung muss darum auch von KMUs endlich als knallharter Existenzschutz verstanden werden. Cyber Security ist heutzutage nicht mehr die Kirsche auf der Torte, kein Nice-to-Have, sondern für jedes Unternehmen absolut unerlässlich.
Und was kann Cyber Security noch mehr? Wettbewerbsvorteil sein!
Das Argument der Existenzsicherung allein sollte für jeden Firmeninhaber bereits ausreichend sein, um Cyber Security-Maßnahmen in entsprechendem Umfang im eigenen Unternehmen zu implementieren und umzusetzen. Allerdings verpflichtet auch die geltende Rechtslage. Kein Unternehmen agiert im rechtsfreien Raum und auch im Bereich der Informationssicherheit gibt es mittlerweile eine Reihe von Gesetzen, Vorschriften und Normen, die Sie mit Ihrem Unternehmen natürlich befolgen müssen. Das seit 2015 gültige IT-Sicherheitsgesetz (IT-SiG) und die seit 2018 verbindlich anzuwendende Datenschutzgrundverordnung (DSGVO) bilden hier nur die wohl bekanntesten Beispiele für Rechtsvorschriften. Je nach Branche gibt es weitere Vorgaben, die erfüllt werden müssen. Eine Nichtbefolgung kann empfindliche Strafen nach sich ziehen – und bei Bekanntwerden auch große Imageverluste hervorrufen, vor allem bei Geschäftspartnern und Kunden.
Neben der Existenzsicherung und der Vermeidung von Strafen gibt es aber auch noch einen weiteren Anreiz, eine umfassende Cyber Security im eigenen Unternehmen einzuführen – nämlich die Möglichkeit, damit Kunden zu gewinnen und an das eigene Unternehmen zu binden. Egal, ob im B2B- oder im B2C-Bereich – Kunden erwarten heutzutage, dass ihre Daten bei einem Unternehmen, dem sie diese Daten anvertrauen, sicher sind. Sie wollen wissen, was mit ihren Daten passiert und selbst bestimmen, für welche Zwecke ihre Daten von einem Unternehmen verarbeitet und genutzt werden. Und Kunden erwarten auch, dass eine digitale Dienstleistung jederzeit für sie verfügbar ist. Im Internet gibt es keinen Ladenschluss – und wenn ein Dienstleister nicht erreichbar ist, stehen dem schnell frustrierten Kunden in vielen Fällen eine Reihe alternativer Dienstleister mit gleichem oder ähnlichen Leistungsversprechen zur Verfügung. Gleichzeitig ist in den Medien immer wieder von Cyber-Angriffen zu hören und zu lesen, von gehackten Datenbanken und gestohlenen Identitätsdaten, von Websites, die nicht mehr aufrufbar sind, und ganzen Organisationen, die durch Schadsoftware, so genannte Malware, lahmgelegt wurden. Aktuell ist Emotet in aller Munde, das sich über E-Mails verbreitet und auch in Deutschland bereits hohe Schäden durch Produktionsausfälle und den unumgänglichen Neuaufbau ganzer Unternehmensnetzwerke verursacht hat. Werden solche Vorfälle bekannt, gehen auch sie zumeist mit einem Imageverlust in der Öffentlichkeit, insbesondere aber bei Geschäftspartnern und Kunden, einher.
Abb. 2: Anreize für die Einführung einer umfassenden Cyber Security in Ihrem Unternehmen, Quelle: Eigene Abbildung
Umfassende Cyber Security-Maßnahmen sind ein probates Mittel, um solche Angriffe wirkungsvoll abzuwehren, aber auch, um diese zeitnah zu entdecken und Gegenmaßnahmen einzuleiten, den Schaden zu begrenzen und nach einem Schadensfall die Geschäftstätigkeit schnell wiederherzustellen. Eine umfassende Cyber Security ist darum nicht nur Existenzschutz, sondern kann gleichzeitig als ein Kundenbindungsmechanismus fungieren. Eine umfassende Cyber Security kann als Akquise-Argument genutzt werden, einerseits, um Kunden davon zu überzeugen, dass deren sensible Daten im eigenen Unternehmen sicher verarbeitet und gespeichert werden und andererseits, um sich dem Kunden gegenüber als verlässlicher Geschäftspartner zu präsentieren, der für den Ernstfall vorbereitet und mit einem effizienten und effektiven Krisenmanagement innerhalb kürzester Zeit wieder geschäftsfähig ist. Heben Sie sich mit einer umfassenden Cyber Security von Ihrer Konkurrenz ab und verschaffen Sie sich so einen gewichtigen Wettbewerbsvorteil.
Kleines Budget, große Wirkung – Wie Sie mit wenig viel erreichen
Eins gleich vorweg – Cyber Security gibt es nicht zum Nulltarif. Aber auch mit wenig Ressourcen lässt sich viel erreichen und die Sicherheit von Daten und IT-Systemen im Unternehmen signifikant steigern. Sie sind für das Thema sensibilisiert und wollen jetzt aktiv werden? Sehr gut! Zögern Sie nicht länger, sondern legen Sie noch heute los! Jeder Tag, den Sie warten, könnte einer zu viel sein.
Zuallererst: Machen Sie Cyber Security zu einem Teil Ihrer Unternehmensstrategie, damit Sie das Thema bei allen Planungen immer mitdenken, mit einem eigenem Budgettopf ausstatten und in Zukunft stetig weiterentwickeln. Für den Aufbau und die Entwicklung einer effizienten und effektiven Cyber Security-Strategie sollten Sie Ihre Aktivitäten dann auf drei Handlungsfelder konzentrieren: (1) Technik, (2) Prozesse und Organisation sowie (3) Fachpersonal. Alle drei Bereiche sind wichtige Bausteine für den Erfolg Ihrer ganzheitlichen Cyber Security-Strategie.
Abb. 3: Die drei Bausteine einer umfassenden Cyber Security-Strategie, Quelle: Eigene Abbildung
(1) Technische Maßnahmen
Technische Basismaßnahmen sind für Ihre Cyber Security-Strategie absolut unerlässlich. Wahrscheinlich haben Sie in Ihrem Unternehmen auch schon einige dieser Maßnahmen erfolgreich implementiert und umgesetzt. Zu einem technischen Basisschutz gehören u. a. der Einsatz von Virenschutzprogrammen und Firewalls, das regelmäßige Ausrollen von Software-Updates und Patches, die regelmäßige Erstellung von Back-ups sowie Spiegelung dieser Back-ups auf ein anderes Medium, die Verwendung von Passwörtern und idealerweise sogar einer Multi-Faktor-Authentifizierung, die Anwendung eines rollenbasierten Berechtigungsmanagements, sowie die Nutzung von Verschlüsselungsmechanismen, z. B. die Verschlüsselung von E-Mails oder aber die Nutzung einer VPN-Verbindung, wenn Mitarbeiter von zuhause oder unterwegs auf das Firmennetzwerk zugreifen.
Sorgen sie dafür, dass dieser Basisschutz so umfangreich wie möglich implementiert und umgesetzt wird, überprüfen und erweitern Sie ihn regelmäßig, und nutzen Sie dafür auch die Ergebnisse der Sicherheitsanalyse, die Sie grundsätzlich durchführen lassen sollten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Ihnen auf seiner Website zudem eine umfangreiche und kostenlos verfügbare Materialsammlung an, auf die Sie zurückgreifen können, um die in Ihrer Firma eingesetzten technischen Maßnahmen beständig zu hinterfragen, zu überprüfen und zu erweitern. Auch die 26 bundesweit verteilten Mittelstand 4.0-Kompetenzzentren unterstützen KMUs in Digitalisierungsfragen. Nutzen Sie zudem auch die vielfältigen finanziellen Fördermittel, die KMUs für Digitalisierungsmaßnahmen über verschiedenste Fördermitteltöpfe zur Verfügung gestellt werden, um Ihr Budget zu schonen.
(2) Prozesse und organisatorische Maßnahmen
Der Schutz vor Hackern und Cyber-Angriffen ist schon längst nicht mehr nur die Aufgabe der IT-Verantwortlichen. Für eine funktionierende Cyber Security müssen Unternehmen verstärkt alle Mitarbeiter ins Boot holen. Denn der Beitrag jedes Einzelnen zählt. Tatsächlich ist der Faktor Mensch mittlerweile die größte Schwachstelle im Unternehmen, wenn es um den Schutz von Daten und IT-Systemen geht. Jeder Mitarbeiter ist ein potenzielles Einfallstor für Cyber-Kriminelle – es heißt, neun von zehn Angriffen würden heutzutage mit dem Öffnen einer E-Mail beginnen. Die Mitarbeiter Ihrer Firma sind deshalb Ihre wichtigsten Verbündeten im Kampf gegen Cyber-Attacken. Es muss Ihnen gelingen, Ihre Mitarbeiter für das Thema Cyber Security zu sensibilisieren, ein Bewusstsein zu schaffen für die Gefahren und bei Ihren Mitarbeitern die Motivation und Eigenverantwortung zu wecken, Richtlinien und Maßnahmen nicht als lästig abzutun, sondern umzusetzen, in dem Wissen, damit die Existenz der eigenen Firma und somit auch den eigenen Arbeitsplatz aktiv zu schützen. Regelmäßige Sensibilisierungskampagnen und Schulungen sind zu diesem Zweck dringend erforderlich. Wenn Sie bereits in Fachpersonal, z. B. einen Informationssicherheits- und / oder Datenschutzbeauftragen, investiert haben, können diese Experten bei den Awareness-Maßnahmen und Schulungen gut unterstützen. Ansonsten könnte auch ein externer Trainer dabei helfen, Bewusstsein zu schaffen und Grundlagenwissen aufzubauen. Auf jeden Fall sollten Sie einen Blick auf den zweiten Teil dieses Blogs werfen – dort finden Sie eine Vielzahl einfacher, leicht umsetzbarer und kostenloser Maßnahmen, die Sie Ihren Mitarbeitern an die Hand geben können, um die Cyber Security Ihres Unternehmens sofort signifikant zu erhöhen.
Auch Ihr IT-Personal sollte natürlich regelmäßig weitergebildet werden, um stets auf dem neuesten Wissensstand zu sein und so bestmöglich gegen Angriffe vorgehen zu können. Dabei müssen es nicht immer teure Weiterbildungen externer Schulungsanbieter sein. Ausreichend Zeit für das Studium von Fachliteratur, den Besuch von Fachmessen und Veranstaltungen zum Austausch mit anderen Experten oder auch Trainings auf zeit- und ortsunabhängigen Online-Bildungsplattformen können kostengünstige, aber effektive Schulungsalternativen sein. Darüber hinaus müssen IT-Verantwortliche mit den nötigen Kompetenzen und zeitlichen Ressourcen ausgestattet werden, um nicht nur die Betriebsfähigkeit der IT-Infrastruktur im Alltagsgeschäft am Laufen zu halten, sondern sich verstärkt um die Einführung und Umsetzung einer Cyber Security-Strategie kümmern zu können. Dies beinhaltet auch die Erstellung von Verhaltensrichtlinien für Mitarbeiter, wie z. B. Passwortrichtlinien oder Richtlinien zur Verwendung mobiler Endgeräte, aber auch die Anfertigung von IT-Sicherheitskonzepten und Notfallplänen.
(3) Personelle Maßnahmen
Falls Sie es bisher nicht getan haben, sollten Sie mittelfristig unbedingt in geschultes Fachpersonal mit Kenntnissen und Erfahrungen in den Bereichen IT-Sicherheit und Datenschutz investieren. Natürlich kosten diese Experten Geld, aber rechnen Sie doch einmal gegen, welche Kosten Ihrem Unternehmen im Schadensfall entstehen können. Schauen Sie sich verschiedene Szenarien an und bedenken Sie, dass die Zahl der Angriffe jedes Jahr rasant ansteigt. Wie hoch ist also wohl die Wahrscheinlichkeit, dass Sie in den nächsten Jahren mit keinem Angriff auf Ihr Unternehmen zu rechnen haben?
Fazit
Wenn Sie die Maßnahmen in den drei Bereichen Technik, Prozesse und Fachpersonal implementieren und umsetzen, wird sich die Cyber Security Ihres Unternehmens deutlich erhöhen. Sie müssen nicht alles gleichzeitig machen, aber fangen Sie jetzt an. Wie ein altes chinesisches Sprichwort schon sagt: Die längste Reise beginnt mit dem ersten Schritt. Vielleicht beginnen Sie ja damit, die Mitarbeiter-Guidelines im zweiten Teil dieses Blogs an Ihre Mitarbeiter weiterzugeben. Der erste Schritt kann so einfach sein!
-
- Bitkom e.V. (6. November 2019a). Wirtschaftsschutz in der digitalen Welt. Abgerufen am 13. September 2020 von https://www.bitkom.org/sites/default/files/2019-11/bitkom_wirtschaftsschutz_2019_0.pdf
- Bitkom e.V. (6. November 2019b). Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr. Abgerufen am 13. September 2020 von https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-100-Milliarden-Euro-Schaden-pro-Jahr
- Deutsche Telekom. (22. Mai 2019). Telekom legt aktuelle Zahlen zur Cybersicherheit vor. Abgerufen am 13. September 2020 von https://www.telekom.com/de/medien/medieninformationen/detail/telekom-legt-aktuelle-zahlen-zur-cybersicherheit-vor-573046
- Hillebrand, A., Niederprüm, A., Schäfer, S., Thiele, S., & Henseler-Unger, I. (Dezember 2017). Aktuelle Lage der IT-Sicherheit in KMU. Abgerufen am 13. September 2020 von https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Redaktion/DE/PDF-Anlagen/Studien/aktuelle-lage-der-it-sicherheit-in-kmu-langfassung.pdf?__blob=publicationFile&v=3
- PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft (PwC). (Februar 2017). Im Visier der Cyber-Gangster: So gefährdet ist die Informationssicherheit im deutschen Mittelstand. Abgerufen am 13. September 2020 von https://www.pwc.de/de/mittelstand/assets/it-sicherheit-im-mittelstand-neu.pdf
- techconsult GmbH. (2019). IT-Sicherheit im Mittelstand. Abgerufen am 13. September 2020 von https://www.techconsult.de/studie-it-sicherheit-mittelstand
-